Konsequenten Dezentralisierung basierend auf den Anforderungen der Niederlassungen
Der Kunde hat sich für die konsequente Dezentralisierung seiner IT entschieden. Was wie eine unzeitgemäße Strategie wirkt, ist die konsequente Ausrichtung auf die herrschenden Strukturen im Konzern.
Der Kunde begann im Gegensatz zum Wettbewerber nicht als Webshop, sondern als Katalogversender. Außerdem kamen im Verlauf mehrerer Jahrzehnte immer neue Marken und Shops hinzu, entweder selbst gegründete oder übernommene.
Viele der Mitarbeiter sind keine Vollzeitbeschäftige und teilweise nur mit ihren eigenen Mobiltelefonen, Tablets und Laptops ausgestattet.
„Zentralisierung konnte und sollte also nicht die Lösung sein.“, ist daher das Statement des Chief Transformation Officer.
Für die IT machten die vielen Shops und Marken mit ihren unterschiedlichen Kanälen die Sache nicht einfacher, ganz im Gegenteil.
Die Kernmarken steuern ihre Warenwirtschaft und CRM über eine Eigenentwicklung, andere Konzerngesellschaften arbeiten im Backend mit SAP, Microsoft oder Oracle. Für den Chief Transformation Officer bestand die Herausforderung vor allem darin, allen diesen Tochterfirmen gerecht zu werden und deren IT-Topics in der Konzern IT-Landschaft abzubilden.
Der Kunde setzt konsequent auf Dezentralisierung.
Von Ansatz, dies mit Hilfe eines konzernweiten SAP-Systems zu versuchen, verabschiedete man sich nach einigem Herumprobieren wieder. Seit ca. 1,5 Jahren setzt man nun konsequent auf Dezentralisierung.
„Die meisten Töchter werden zukünftig ihre eigenen SAP-Systeme betreiben, ihre Frontends und Webshops optimieren und an die verschiedenen Anforderungen anpassen.“
So kommt es zum Beispiel bei vielen der Konzerngesellschaften in erster Linie auf schnelle Prozesse an. Beim Mutterunternehmen gibt es dagegen nicht nur Waschmaschinen, sondern auch den Installationsservice dazu. Das erfordert natürlich deutlich andere Prozesse.
Insgesamt möchte der Chief Transformation Officer, der Teil des Vorstands ist, die Backendsysteme entschlacken und mehr Energie in kundenrelevante Systeme stecken: „Wir müssen uns dabei auch Neues ansehen und vieles ausprobieren.“
Trotz der notwendigen und richtigen Dezentralisierungsstrategie gibt es zentrale Security Anforderungen.
Der Zugriff auf Firmendaten
Mit der Entscheidung private Endgeräte von Mitarbeitern für den Zugriff auf Unternehmensdaten zuzulassen, entstehen gewisse Risiken, die vor allem deswegen bestehen, da diese nicht unter zentraler Kontrolle der IT stehen. Dadurch können Securityvorgaben nicht auf dem Gerät selbst durchgesetzt werden, wie beispielsweise eine PIN-Code Sperre für die Geräte, die Installation einer Anti-Viren Software oder eine Laufwerksverschlüsselung.
Die Lösung, die zusammen mit uns umgesetzt wurde: Richtlinien für mobile Anwendungen (Apps) und für mobile Endgeräte (Smartphones und Tablets) um auf die Firmen-Anwendungen zuzugreifen.
Ziel ist es Mitarbeitern mit ihren privaten Endgeräten Zugang zu gewähren. Bei diesen handelt es sich natürlich um Geräte, die nicht in der zentralen Verwaltung (unmanaged) der jeweiligen Konzerngesellschaft sind. Dadurch entsteht ein nicht unerhebliches Risiko.
Microsoft bietet mit der Mobile Device Management Lösung Intune die Möglichkeit „Mobile Application Management Policies“ zu erstellen, welche Vorgaben an die mobilen Anwendungen stellen und nicht an das Gerät. Dabei kann unterschieden werden, ob diese für bei Intune registrierte (Intune MDM + MAM) oder für nicht bei Intune registrierte Geräte (MAM-WE) gelten. Dadurch müssen private Geräte nicht zentral über ein Mobile Device Management (MDM) verwaltet werden.
Schutz sensibler Daten
Azure Information Protection ist eine cloudbasierte Lösung, die zum Klassifizieren und Schützen von Dokumenten und E-Mails eingesetzt wird. Dies kann automatisch durch Administratoren, die Regeln und Bedingungen definieren, manuell durch Benutzer oder durch eine Kombination beider Verfahren erfolgen.
Der Service Azure Information Protection wird dazu genutzt, Schutzbedarfsklassen abzubilden und informationelle Werte entsprechend zu kennzeichnen und zu schützen. Alle informationellen Werte werden mit dem Service Azure Information Protection klassifiziert und geschützt. Die Festlegung der Schutzbedarfsklassen trifft die Konzern-Informationssicherheit. Die Umsetzung in Azure Information Protection wird von der Group IT zusammen mit uns vorgenommen.
Informationelle Werte sind Informationen und Einrichtungen zur Verarbeitung von Informationen sowie Geschäftsprozesse, die für den Kunden einen materiellen oder immateriellen Wert darstellen. Mit Hilfe eines Schutzbedarfs wird ausgedrückt, welcher Schutz für einen solchen Wert ausreichend und angemessen ist. Die Klassifizierungsstufen enthalten auch die Aspekte des Datenschutzes und des Umgangs mit personenbezogenen/-beziehbaren Daten.
MAM Richtlinien sowie Information Protection sind an Benutzeridentitäten und nicht an Geräte gebunden und gelten somit grundsätzlich für private als auch für Unternehmensgeräte.
Mit Intune können zur Unterscheidung zwei unterschiedliche Arten von MAM Richtlinien erstellt werden. Für private oder nicht verwaltete Geräte heißen diese MAM-WE (without enrollment) und für verwaltete Geräte nur MAM Richtlinien. Unternehmensgeräte können so mit einer Kombination aus MDM Richtlinien und zusätzlichen MA -Richtlinien geschützt werden.
Der Service Azure Information Protection integriert sich in die Office Client Anwendungen Word, Excel und PowerPoint. Mit dieser Integration können Dateien direkt aus den Office Anwendungen heraus klassifiziert und geschützt werden. Für die Office Formate kann automatisch und abhängig von der Klassifizierung eine Kopf- oder Fußzeile sowie ein Wasserzeichen definiert werden.
Zum Schützen und Klassifizieren von nicht-Office Dateien kommt der AIP Client zum Einsatz. Diese Software wird genutzt, um z.B. PDF Dokumente und andere Dateien zu klassifizieren und zu schützen. Um geschützte nicht-Office Dateien zu öffnen, wird der AIP Viewer verwendet. Diese Tools steht kostenlos für die Plattformen iOS, Android, macOS und Windows zur Verfügung.
Der Kunde setzt bei der Einführung der Lösungen auf ein Multiplikatoren Netzwerk. 2.000 Mitarbeiter wurden in der ersten Welle beim Kunden in der Lage versetzt, die neuen Funktionen zu nutzten. Sie werden dazu ermutigt und befähigt, genau das auch zu tun.